ISA 330 Revisors håndtering av anslåtte risikoer

Transkript

1 International Auditing and Assurance Standards Board ISA 330 Internasjonal revisjonsstandard ISA 330 Revisors håndtering av anslåtte risikoer 2009

2 2 ISA 330 International Auditing and Assurance Standards Board International Federation of Accountants 545 Fifth Avenue, 14th Floor New York, New York USA This International Standard on Auditing (ISA)330, «The Auditor s Responses to Assessed Risks» was prepared by the International Auditing and Assurance Standards Board (IAASB), an independent standard-setting body within the International Federation of Accountants (IFAC). The objective of the IAASB is to serve the public interest by setting high quality auditing and assurance standards and by facilitating the convergence of international and national standards, thereby enhancing the quality and uniformity of practice throughout the world and strengthening public confidence in the global auditing and assurance profession. The original English version of this publication may be downloaded free of charge from the IFAC website: The approved text is published in the English language. The mission of IFAC is to serve the public interest, strengthen the worldwide accountancy profession and contribute to the development of strong international economies by establishing and promoting adherence to high quality professional standards, furthering the international convergence of such standards and speaking out on public interest issues where the profession s expertise is most relevant. Copyright April 2009 by the International Federation of Accountants (IFAC). All rights reserved. Permission is granted to make copies of this work provided that such copies are for use in academic classrooms or for personal use and are not sold or disseminated and provided that each copy bears the following credit line: «Copyright April 2009 by the International Federation of Accountants (IFAC). All rights reserved. Used with permission of IFAC. Contact permissions@ifac.org for permission to reproduce, store or transmit this document.» Otherwise, written permission from IFAC is required to reproduce, store or transmit, or to make other similar uses of, this document, except as permitted by law. Contact permissions@ifac.org. ISBN: *** Internasjonal revisjonsstandard 330 Revisors håndtering av anslåtte risikoer er opprinnelig utgitt på engelsk av the International Auditing and Assurance Standards Board i the International Federation of Accountants (IFAC) i April 2009, og oversatt til norsk og utgitt av Den norske Revisorforening i April 2010, med tillatelse fra IFAC. IFAC har vurdert oversettelsesprosedyren, og oversettelsen er gjort i samsvar med Policy Statement Policy for Translating and Reproducing Standards Issued by IFAC. Den godkjente teksten til de internasjonale standardene for revisjon og kvalitetskontroll er den som er utgitt på engelsk av IFAC. Engelsk utgave av internasjonal revisjonsstandard 330 Revisors håndtering av anslåtte risikoer 2009 the International Federation of Accountants (IFAC). Norsk utgave av internasjonal revisjonsstandard 330 Revisors håndtering av anslåtte risikoer 2010 the International Federation of Accountants (IFAC). Originalens tittel: International Standard on Auditing (ISA)330, «The Auditor s Responses to Assessed Risks».

3 3 ISA 330 INTERNASJONAL REVISJONSSTANDARD 330 REVISORS HÅNDTERING AV ANSLÅTTE RISIKOER (Gjelder for revisjon av regnskap for perioder som begynner 1. januar 2010 eller senere.) INNHOLD Punkt Innledning Denne ISA-ens virkeområde... 1 Ikrafttredelsesdato... 2 Mål... 3 Definisjoner... 4 Krav Overordnet håndtering... 5 Revisjonshandlinger tilpasset anslåtte risikoer for vesentlig feilinformasjon på påstandsnivå Adekvat presentasjon og informasjon Vurdering av om innhentede revisjonsbevis er tilstrekkelige og hensiktsmessige Dokumentasjon Veiledning og utfyllende forklaringer Overordnede handlinger... A1 A3 Revisjonshandlinger tilpasset anslåtte risikoer for vesentlig feilinformasjon på påstandsnivå... A4 A58 Adekvat presentasjon og informasjon... A59 Vurdering av om innhentede revisjonsbevis er tilstrekkelige og hensiktsmessige... A60 A62 Dokumentasjon... A63 Internasjonal revisjonsstandard (ISA) 330 «Revisors håndtering av anslåtte risikoer» må leses i sammenheng med ISA 200 «Overordnede mål for den uavhengige revisor og gjennomføringen av en revisjon i samsvar med de internasjonale revisjonsstandardene».

4 4 ISA 330 Innledning Denne ISA-ens virkeområde 1. Denne ISA-en omhandler revisors oppgaver med og plikter til å utforme og utføre revisjonshandlinger for å håndtere risikoer for vesentlig feilinformasjon som er identifisert og vurdert av revisor i henhold til ISA ved en revisjon av et regnskap. Ikrafttredelsesdato 2. Denne ISA-en gjelder for revisjon av regnskaper for perioder som begynner 1. januar 2010 eller senere. Mål 3. Revisors mål er å innhente tilstrekkelige og hensiktsmessige revisjonsbevis vedrørende de anslåtte risikoene for vesentlig feilinformasjon gjennom utforming og utførelse av egnede revisjonshandlinger for å håndtere disse risikoene. Definisjoner 4. For ISA-enes formål har følgende begreper den betydning som er beskrevet nedenfor: Krav Overordnet håndtering Substanshandling Revisjonshandling som er utformet for å avdekke vesentlig feilinformasjon på påstandsnivå. Substanshandlinger omfatter: (i) detaljtester (av transaksjonsklasser, kontosaldoer og tilleggsopplysninger), og (ii) analytiske substanshandlinger. Test av kontroller Revisjonshandlinger som er utformet for å vurdere måleffektiviteten av kontrollene med hensyn på å forebygge, eller avdekke og korrigere, vesentlig feilinformasjon på påstandsnivå. 5. Revisor skal utforme og iverksette overordnede handlinger for å håndtere anslåtte risikoer for vesentlig feilinformasjon på regnskapsnivå. (Jf. punkt A1 A3) Revisjonshandlinger tilpasset anslåtte risikoer for vesentlig feilinformasjon påstandsnivå 6. Revisor skal utforme og utføre videre revisjonshandlinger hvor type, tidspunkt og omfang er basert på og tilpasset de anslåtte risikoene for vesentlig feilinformasjon på påstandsnivå. (Jf. punkt A4 A8) 7. Ved utformingen av videre revisjonshandlinger som skal utføres, skal revisor: ta hensyn til grunnlaget for vurderingen av risikoen for vesentlig feilinformasjon på påstandsnivå for hver transaksjonsklasse, kontosaldo og tilleggsopplysning, herunder: 1 ISA 315 (revidert) «Identifisering og vurdering av risikoene for vesentlig feilinformasjon gjennom forståelse av enheten og dets omgivelser»

5 5 ISA 330 (i) (ii) sannsynligheten for vesentlig feilinformasjon som følge av de spesielle egenskapene ved de relevante transaksjonsklassene, kontosaldoene og tilleggsopplysningene (det vil si iboende risiko), og hvorvidt risikovurderingen tar høyde for relevante kontroller (det vil si kontrollrisikoen), og derved krever at revisor innhenter revisjonsbevis for å fastsette om kontrollene fungerer effektivt (det vil si at revisor planlegger å bygge på kontrollenes effektivitet ved fastsettelse av typen, tidspunktet for utførelse og omfanget av substanshandlinger) og (Jf. punkt A9 A18) innhente mer overbevisende revisjonsbevis jo høyere revisor vurderer risikoen. (Jf. punkt A19) Tester av kontroller 8. Revisor skal utforme og utføre tester av kontroller for å innhente tilstrekkelig og hensiktsmessig revisjonsbevis for at relevante kontroller fungerer effektivt dersom: revisors vurdering av risiko for vesentlig feilinformasjon på påstandsnivå omfatter en forventning om at kontrollene fungerer effektivt (det vil si at revisor planlegger å bygge på kontrollenes effektivitet ved fastsettelse av typen, tidspunktet for utførelse og omfanget av substanshandlinger), eller substanshandlinger alene ikke gir tilstrekkelige og hensiktsmessige revisjonsbevis på påstandsnivå. (Jf. punkt A20 A24) 9. Ved utforming og utførelse av tester av kontroller skal revisor innhente mer overbevisende revisjonsbevis jo mer revisor bygger på en kontrolls effektivitet. (Jf. punkt A25) Type og omfang av tester av kontroller 10. Ved utforming og utførelse av tester av kontroller skal revisor: Utføre andre revisjonshandlinger i kombinasjon med forespørsler for å innhente revisjonsbevis for kontrollenes effektivitet, herunder: (i) Hvordan kontroller ble anvendt på aktuelle tidspunkt i perioden som revideres. (ii) I hvilken grad de ble anvendt på en ensartet måte. (iii) Av hvem eller på hvilken måte de ble utført (Jf. punkt A26 29) Fastsette hvorvidt kontrollene som skal testes avhenger av andre kontroller (indirekte kontroller), og dersom dette er tilfellet, hvorvidt det er nødvendig å innhente revisjonsbevis som underbygger at disse indirekte kontrollene fungerer effektivt. (Jf. punkt A30 31) Tidspunkt for tester av kontroller 11. Revisor skal teste kontroller på det bestemte tidspunktet eller gjennom den perioden som revisor planlegger å bygge på disse kontrollene, i henhold til punkt 12 og 15 nedenfor, for å skaffe seg et hensiktsmessig grunnlag for å bygge på kontrollene. (Jf. punkt A32) Anvendelse av revisjonsbevis innhentet i interimsrevisjonen 12. Dersom revisor innhenter revisjonsbevis for kontrollens effektivitet ved interimsrevisjonen, skal revisor: innhente revisjonsbevis om vesentlige endringer i disse kontrollene som forekommer etter interimsrevisjonen, og fastsette hvilke ytterligere revisjonsbevis som skal innhentes for den gjenværende perioden. (Jf. punkt A33 A34)

6 6 ISA 330 Anvendelse av revisjonsbevis innhentet ved tidligere revisjoner 13. Ved fastsettelse av hvorvidt det er hensiktsmessig å anvende revisjonsbevis for kontrollers effektivitet som er innhentet ved tidligere revisjoner og, dersom dette er tilfellet, hvor lang tid det kan gå før en kontroll testes på nytt, skal revisor vurdere følgende: (c) (d) (e) (f) Hvorvidt andre elementer i den interne kontrollen fungerer effektivt, herunder kontrollmiljøet, enhetens overvåking av kontroller og enhetens risikovurderingsprosess. Risikoene som følger av kontrollens særtrekk, herunder hvorvidt kontrollen er manuell eller automatisert. Hvorvidt generelle IT-kontroller fungerer effektivt. Hvorvidt kontrollen og enhetens anvendelse av den fungerer effektivt, herunder typen og omfanget av avvik i anvendelsen av kontrollen registrert ved tidligere revisjoner, og hvorvidt det har forekommet personalendringer som i vesentlig grad påvirker anvendelsen av kontrollen. Hvorvidt manglende endringer i en gitt kontroll utgjør en risiko som følge av endrede omstendigheter. Risikoen for vesentlig feilinformasjon og hvilken grad det bygges på kontrollen. (Jf. punkt A35) 14. Dersom revisor planlegger å anvende revisjonsbevis innhentet ved en tidligere revisjon for konkrete kontrollers effektivitet, skal revisor fastslå om disse revisjonsbevisene fortsatt er relevante ved å innhente revisjonsbevis for hvorvidt det har forekommet vesentlige endringer i disse kontrollene etter den foregående revisjonen. Revisor skal innhente revisjonsbevis gjennom forespørsler kombinert med observasjon eller inspeksjon for å bekrefte forståelsen av de konkrete kontrollene, og: Dersom det har forekommet endringer som påvirker den fortsatte relevansen av revisjonsbevis innhentet ved den tidligere revisjonen, skal revisor teste kontrollene under den aktuelle revisjonen. (Jf. punkt A36) Dersom det ikke har forekommet endringer, skal revisor teste kontrollene minst en gang hver tredje revisjon. Revisor skal fordele testene av kontrollene over revisjonsperiodene for å unngå at alle kontrollene revisor planlegger å bygge på testes i en og samme revisjonsperiode uten å teste kontroller i de påfølgende to revisjonsperiodene. (Jf. punkt A37 39) Kontroller knyttet til særskilte risikoer 15. Dersom revisor planlegger å bygge på kontroller knyttet til en risiko som revisor har fastslått er en særskilt risiko, skal revisor teste disse kontrollene i den aktuelle perioden. Vurdering av kontrollers effektivitet 16. Ved vurdering av relevante kontrollers effektivitet skal revisor vurdere hvorvidt feilinformasjon som er blitt avdekket gjennom substanshandlinger indikerer at kontroller ikke fungerer effektivt. Det at substanshandlinger ikke avdekker feilinformasjon utgjør imidlertid ikke revisjonsbevis for at kontroller som er knyttet til den påstanden som testes, er effektive. (Jf. punkt A40) 17. Dersom det avdekkes avvik ved utførelse av kontroller som revisor planlegger å bygge på, skal revisor rette særskilte forespørsler for å forstå disse forholdene og deres mulige konsekvenser, og skal fastslå hvorvidt: de testene av kontroller som er utført gir et hensiktsmessig grunnlag for å bygge på kontrollene, ytterligere testing av kontroller er nødvendig, eller

7 7 ISA 330 (c) de mulige risikoene for feilinformasjon må håndteres ved å anvende substanshandlinger. (Jf. punkt A41) Substanshandlinger 18. Uavhengig av den anslåtte risikoen for vesentlig feilinformasjon skal revisor utforme og utføre substanshandlinger for hver enkelt vesentlig transaksjonsklasse, kontosaldo og tilleggsopplysning. (Jf. punkt A42 A47) 19. Revisor skal vurdere om eksterne bekreftelser skal gjennomføres som substanshandlinger. (Jf. punkt A48 A51) Substanshandlinger knyttet til regnskapsavslutningsprosessen 20. Revisors substanshandlinger skal omfatte følgende revisjonshandlinger knyttet til regnskapsavslutningsprosessen: Sammenholde eller avstemme at regnskapet stemmer med underliggende regnskapsmateriale, og undersøkelse av vesentlige posteringer og andre justeringer som er foretatt under utarbeidelsen av årsregnskapet. (Jf. punkt A52) Substanshandlinger for å håndtere særskilte risikoer 21. Dersom revisor har funnet at en anslått risiko for vesentlig feilinformasjon på påstandsnivå er en særskilt risiko, skal revisor utføre substanshandlinger som er spesielt tilpasset denne risikoen. Når angrepsvinkelen til en særskilt risiko bare består av substanshandlinger, skal disse kontrollene omfatte detaljtester. (Jf. punkt A53) Tidspunkt for utførelse av substanshandlinger 22. Dersom substanshandlinger utføres per en interimsdato, skal revisor dekke den gjenværende perioden ved å utføre: substanshandlinger kombinert med tester av kontroller for den mellomliggende perioden, eller dersom revisor konkluderer med at det er tilstrekkelig, kun ytterligere substanshandlinger som danner et rimelig grunnlag for å videreføre revisors konklusjoner fra den aktuelle datoen til regnskapsperiodens slutt. (Jf. punkt A55 A57) 23. Dersom det avdekkes feilinformasjon per en interimsdato som revisor ikke forventet ved vurderingen av risikoen for vesentlig feilinformasjon, skal revisor vurdere hvorvidt den tilknyttede vurderingen av risiko så vel som planlagt type, tidspunkt og omfang av substanshandlinger som dekker den gjenværende perioden, må endres. (Jf. punkt A58) Adekvat presentasjon og informasjon 24. Revisor skal utføre revisjonshandlinger for å vurdere hvorvidt presentasjonen av regnskapet totalt sett, herunder de tilknyttede tilleggsopplysningene, er i samsvar med det gjeldende rammeverket for finansiell rapportering. (Jf. punkt A59) Vurdering av om innhentede revisjonsbevis er tilstrekkelige og hensiktsmessige 25. Basert på utførte revisjonshandlinger og innhentede revisjonsbevis, skal revisor før avslutningen av revisjonen evaluere hvorvidt vurderingene av risikoene for vesentlig feilinformasjon på påstandsnivå fortsatt er hensiktsmessige. (Jf. punkt A60 61)

8 8 ISA Revisor skal fastslå hvorvidt tilstrekkelige og hensiktsmessige revisjonsbevis er innhentet. Ved utformingen av en revisjonsberetning skal revisor vurdere alle relevante revisjonsbevis, uavhengig av om de synes å bekrefte eller motsi påstandene i regnskapet. (Jf. punkt A62) 27. Dersom revisor ikke har innhentet tilstrekkelige og hensiktsmessige revisjonsbevis for en vesentlig påstand i årsregnskapet, skal revisor forsøke å innhente ytterligere revisjonsbevis. Dersom revisor ikke er i stand til å innhente tilstrekkelige og hensiktsmessige revisjonsbevis, skal revisor avgi en revisjonsberetning med forbehold eller en beretning som konkluderer med at revisor ikke kan uttale seg om regnskapet. Dokumentasjon 28. Revisor skal inkludere i revisjonsdokumentasjonen: 2 (c) de overordnede handlingene for å håndtere de anslåtte risikoene for vesentlig feilinformasjon på regnskapsnivå, og typen, tidspunktet for utførelsen og omfanget av videre revisjonshandlinger som er utført, disse revisjonshandlingenes tilknytning til anslått risiko på påstandsnivå, og resultatene av revisjonshandlingene, herunder konklusjonene når disse ikke er tydeliggjort på annen måte. (Jf. punkt A63) 29. Dersom revisor planlegger å anvende revisjonsbevis for kontrollenes effektivitet som er innhentet ved foregående revisjoner, skal revisor inkludere i revisjonsdokumentasjonen konklusjonene som ble trukket om i hvilken grad revisor bygger på slike kontroller som ble testet ved en foregående revisjon. 30. Det skal fremgå av revisors dokumentasjon at regnskapet samsvarer eller stemmer med underliggende regnskapsmateriale. * * * Veiledning og utfyllende forklaringer Overordnede handlinger (Jf. punkt 5) A1. Overordnede handlinger for å håndtere de anslåtte risikoene for vesentlig feilinformasjon på regnskapsnivå kan omfatte å: understreke overfor revisjonsteamet nødvendigheten av å opprettholde en profesjonelt skeptisk holdning, bruke personale med mer erfaring eller spesialkompetanse, eller bruke eksperter, sørge for økt oppfølging, bygge inn ytterligere uforutsigbare elementer ved utvelgelsen av videre revisjonshandlinger som skal utføres, foreta generelle endringer av revisjonshandlingers type, tidspunkt for utførelse eller omfang, for eksempel: utføre substanshandlinger ved regnskapsperiodens slutt i stedet for på et tidligere tidspunkt, eller endre typen revisjonshandlinger for å innhente mer overbevisende revisjonsbevis. A2. Vurderingen av risikoene for vesentlig feilinformasjon på regnskapsnivå, og derved revisors overordnede handlinger, påvirkes av revisors forståelse av kontrollmiljøet. Et effektivt 2 ISA 230 «Revisjonsdokumentasjon» punkt 8 11 og A6.

9 9 ISA 330 kontrollmiljø kan tillate revisor å ha større tillit til den interne kontrollen og påliteligheten av revisjonsbevis som er generert internt i enheten, og tillater derved for eksempel at revisor utfører enkelte revisjonshandlinger på et tidligere tidspunkt enn ved regnskapsperiodens slutt. Mangler i kontrollmiljøet har imidlertid motsatt effekt. Revisor kan for eksempel håndtere et ineffektivt kontrollmiljø ved å: utføre flere revisjonshandlinger ved regnskapsperiodens slutt enn på et tidligere tidspunkt, innhente mer omfattende revisjonsbevis gjennom substanshandlinger, øke antall steder som omfattes av revisjonen. A3. Disse vurderingene har derfor stor betydning for revisors generelle fremgangsmåte, for eksempel med vektlegging av substanshandlinger (substansbasert fremgangsmåte) eller en fremgangsmåte som omfatter både tester av kontroller og substanshandlinger (kombinert fremgangsmåte). Revisjonshandlinger tilpasset anslåtte risikoer for vesentlig feilinformasjon på påstandsnivå Type, tidspunkt for utførelse og omfang av videre revisjonshandlinger (Jf. punkt 6) A4. Revisors vurdering av de identifiserte risikoene på påstandsnivå danner grunnlag for å fastsette hvilken fremgangsmåte som er hensiktsmessig ved utformingen og utførelsen av videre revisjonshandlinger. For eksempel kan revisor fastslå at: (c) den eneste effektive håndteringen av den anslåtte risikoen for vesentlig feilinformasjon for en bestemt påstand er å utføre tester av kontroller, utførelse av substanshandlinger alene er hensiktsmessig for bestemte påstander, og revisor tar derfor ikke virkningen av kontroller i betraktning ved den relevante risikovurderingen. Årsaken kan være at revisors risikovurderingshandlinger ikke har identifisert noen effektive kontroller som er relevante for påstanden, eller at testing av kontroller ikke er hensiktsmessig og at revisor derfor ikke planlegger å bygge på kontrollenes effektivitet ved fastsettelse av typen, tidspunktet for utførelse og omfanget av substanshandlinger, eller en kombinert angrepsvinkel som benytter både tester av kontroller og substanshandlinger, er en effektiv fremgangsmåte. Som det kreves i punkt 18, utformer og gjennomfører revisor imidlertid substanshandlinger for hver vesentlige transaksjonsklasse, kontosaldo og noteopplysning, uavhengig av den valgte fremgangsmåten. A5. Type revisjonshandling henviser til revisjonshandlingens formål (det vil si test av kontroller eller substanshandling) og art (det vil si inspeksjon, observasjon, forespørsel, bekreftelse, kontrollberegning, gjentakelse eller analytisk handling). Revisjonshandlingenes type er av stor betydning ved håndteringen av de anslåtte risikoene. A6. Tidspunktet for en revisjonshandling viser til når revisjonshandlingen er utført eller for hvilken periode eller dato revisjonsbevis gjelder. A7. Omfanget av en revisjonshandling viser til kvantiteten som skal utføres, for eksempel utvalgsstørrelsen eller antall observasjoner av en kontrollaktivitet. A8. Utformingen og utførelsen av videre revisjonshandlinger hvor type, tidspunkt for utførelse og omfang er basert på og tilpasset de anslåtte risikoene for vesentlig feilinformasjon på påstandsnivå, sørger for en klar sammenheng mellom revisors videre revisjonshandlinger og risikovurderingen.

10 10 ISA 330 Håndtering av anslåtte risikoer på påstandsnivå (Jf. punkt 7) Type A9. Revisors anslåtte risikoer kan påvirke både hvilken art revisjonshandlinger som blir utført og sammensetningen av dem. For eksempel når en anslått risiko er høy, kan revisor gjennom en tredjepart få bekreftet at vilkårene i en kontrakt er fullstendige, i tillegg til å inspisere dokumentet. Videre kan noen revisjonshandlinger være mer hensiktsmessige for enkelte påstander enn andre. I forbindelse med inntekter kan for eksempel tester av kontroller være best egnet til å håndtere den anslåtte risikoen for feilinformasjon for påstanden om fullstendighet, mens substanshandlinger kan være best egnet til å håndtere den anslåtte risikoen for feilinformasjon for påstanden om gyldighet. A10. Grunnlaget for vurderingen av en risiko er relevant ved fastsettelsen av typen revisjonshandlinger. Dersom en anslått risiko for eksempel er lavere på grunn av de særskilte egenskapene ved en transaksjonsklasse uavhengig av de tilknyttede kontrollene, kan revisor beslutte at analytiske substanshandlinger alene kan gi tilstrekkelig og hensiktsmessig revisjonsbevis. På den annen side, dersom den anslåtte risikoen er lavere på grunn av interne kontroller og revisor har til hensikt å utforme substanshandlinger basert på denne lave vurderingen, utfører revisor tester av disse kontrollene, som påkrevd i punkt 8. Dette kan for eksempel være tilfellet for en transaksjonsklasse med rimelig ensartede, ukompliserte egenskaper som rutinemessig behandles og kontrolleres av enhetens informasjonssystem. Tidspunkt A11. Revisor kan utføre tester av kontroller eller substanshandlinger ved regnskapsperiodens slutt eller på et tidligere tidspunkt. Jo høyere risikoen for vesentlig feilinformasjon er, desto mer sannsynlig er det at revisor beslutter at det er mer effektivt å utføre substanshandlinger nærmere eller ved slutten av regnskapsperioden enn på et tidligere tidspunkt, eller å utføre revisjonshandlinger uten forutgående varsel eller på uforutsigbare tidspunkter (for eksempel å utføre revisjonshandlinger på utvalgte steder uten forutgående varsel). Dette er særlig relevant ved vurdering av revisjonshandlinger for å håndtere risikoene for misligheter. Revisor kan for eksempel konkludere med at revisjonshandlinger for å videreføre konklusjoner per en interimsdato til regnskapsperiodens slutt ikke vil være effektive når det er identifisert risikoer for bevisst feilinformasjon eller manipulasjon. A12. På den annen side kan det å utføre revisjonshandlinger forut for regnskapsperiodens slutt hjelpe revisor til å identifisere vesentlige forhold tidlig i revisjonen og derved løse dem med assistanse fra ledelsen eller å utarbeide en effektiv fremgangsmåte for å håndtere disse forholdene. A13. I tillegg kan enkelte revisjonshandlinger kun utføres ved eller etter regnskapsperiodens slutt, for eksempel: kontroll av om regnskapet stemmer med underliggende regnskapsregistre, gjennomgåelse av justeringer som er gjort under utarbeidelsen av årsregnskapet, og handlinger for å håndtere risikoen for at enheten har inngått urettmessige salgskontrakter eller at transaksjoner ikke er fullført ved regnskapsperiodens slutt. A14. Andre relevante faktorer som påvirker revisors vurdering av tidspunktet for utførelse av revisjonshandlinger, omfatter følgende forhold: Kontrollmiljøet. Når relevant informasjon er tilgjengelig (det kan for eksempel være at elektroniske filer senere overskrives eller at rutiner som skal observeres kun utføres på bestemte tidspunkter).

11 11 ISA 330 Omfang Risikoens art. (Dersom det for eksempel foreligger en risiko for overvurderte inntekter for å oppfylle inntektsforventninger ved senere utarbeidelse av falske salgskontrakter, kan revisor ønske å gjennomgå kontrakter som er tilgjengelige ved regnskapsperiodens slutt.) Perioden eller datoen som revisjonsbeviset gjelder for. A15. Omfanget av en revisjonshandling som er vurdert nødvendig er fastsatt etter en vurdering av vesentligheten, den anslåtte risikoen og graden av sikkerhet revisor planlegger å oppnå. Når et enkelt formål dekkes av en kombinasjon av revisjonshandlinger, vurderes omfanget av hver revisjonshandling separat. Som regel øker omfanget av revisjonshandlinger i takt med den økte risikoen for vesentlig feilinformasjon. For å håndtere den anslåtte risikoen for vesentlig feilinformasjon som skyldes misligheter, kan det for eksempel være hensiktsmessig å øke størrelsen av et utvalg eller gjennomføre analytiske substanshandlinger på et mer detaljert nivå. Å utvide omfanget av en revisjonshandling er imidlertid kun effektivt hvis revisjonshandlingen i seg selv er relevant for den aktuelle risikoen. A16. Bruk av IT-baserte revisjonsteknikker (CAATs) kan muliggjøre mer omfattende testing av elektroniske transaksjons- og regnskapsregistre, noe som kan være nyttig når revisor beslutter å endre omfanget av testing, for eksempel for å håndtere risikoene for vesentlig feilinformasjon som skyldes misligheter. Disse teknikkene kan anvendes til å velge ut transaksjoner fra viktige elektroniske filer, til å sortere ut transaksjoner med bestemte særtrekk eller til å teste en hel populasjon i stedet for et utvalg. Særlige hensyn knyttet til enheter i offentlig sektor A17. Ved revisjon i offentlig sektor kan revisjonsmandatet og eventuelle andre spesielle krav til revisjonen påvirke revisors vurdering av typen, tidspunktet og omfanget av videre revisjonshandlinger. Særlige hensyn knyttet til mindre enheter A18. I svært små enheter kan det være svært få kontrollaktiviteter som kan identifiseres av revisor, eller omfanget av enhetens dokumentasjon av deres eksistens eller funksjon kan være begrenset. I slike tilfeller kan det være mer effektivt for revisor å utføre videre revisjonshandlinger som hovedsakelig er substanshandlinger. I noen sjeldne tilfeller kan imidlertid mangelen på kontrollaktiviteter eller andre kontrollelementer gjøre det umulig å innhente tilstrekkelig og hensiktsmessig revisjonsbevis. Høyere risikovurdering (Jf. punkt 7) A19. Ved innhenting av mer overbevisende revisjonsbevis som følge av en høyere risikovurdering, kan revisor øke mengden bevis eller innhente bevis som er mer relevant eller pålitelig, for eksempel ved å legge større vekt på å innhente bevis gjennom tredjepart eller ved å innhente bekreftende bevis fra et antall uavhengige kilder. Tester av kontroller Utforming og utførelse av tester av kontroller (Jf. punkt 8) A20. Tester av kontroller utføres kun på de kontrollene som revisor har besluttet er hensiktsmessig utformet for å forebygge, eller avdekke og korrigere, vesentlig feilinformasjon i en påstand. Dersom svært ulike kontroller ble anvendt på ulike tidspunkt i perioden som revideres, vurderes hver enkelt separat. A21. Testing av kontrollers effektivitet er ikke det samme som opparbeidelse av en forståelse av og vurdering av utformingen og iverksettelsen av kontroller. Det er imidlertid de samme artene av revisjonshandlinger som anvendes. Revisor kan derfor beslutte at det er hensiktsmessig å teste

12 12 ISA 330 kontrollenes effektivitet samtidig med vurderingen av deres utforming og fastsettelsen av at de er blitt iverksatt. A22. Videre, selv om enkelte risikovurderingshandlinger ikke nødvendigvis er spesifikt utformet som tester av kontroller, kan de likevel gi revisjonsbevis for kontrollenes effektivitet og følgelig fungere som tester av kontroller. Revisors risikovurderingshandlinger kan for eksempel ha omfattet: Forespørsler om ledelsens anvendelse av budsjetter. Observasjon av ledelsens sammenligning av månedlige budsjetterte og faktiske kostnader. Inspeksjon av rapporter om undersøkelse av differanser mellom budsjetterte og faktiske beløp. Disse revisjonshandlingene gir kunnskap om utformingen av enhetens budsjettrutiner og om de er iverksatt, og kan også gi revisjonsbevis for hvor effektivt budsjettrutinene forebygger eller avdekker vesentlig feilinformasjon i klassifiseringen av kostnader. A23. I tillegg kan revisor utforme en test av kontroller som skal utføres samtidig med en detaljtest på den samme transaksjonen. Selv om formålet med en test av kontroller er annerledes enn formålet med en detaljtest, kan begge oppfylles samtidig ved å utføre en test av kontroller og en detaljtest på samme transaksjon, også kalt en test med to formål. Revisor kan for eksempel utforme, og vurdere resultatet av, en test for å undersøke en faktura for å fastslå om den er godkjent og for å innhente revisjonsbevis fra substanshandling for en transaksjon. En test med to formål utformes og evalueres ved å ta i betraktning begge formålene separat. A24. I noen tilfeller, som drøftet i ISA 315, kan revisor finne det umulig å utforme effektive substanshandlinger som i seg selv gir tilstrekkelig og hensiktsmessig revisjonsbevis på påstandsnivå. 3 Dette kan skje når en enhet anvender IT i sin virksomhet og det ikke utarbeides eller vedlikeholdes noen annen dokumentasjon av transaksjoner enn dokumentasjon via IT-systemet. I slike tilfeller krever punkt 8 at revisor utfører tester av relevante kontroller. Revisjonsbevis og i hvilken grad revisor planlegger å bygge på intern kontroll (Jf. punkt 9) A25. Det kan søkes å oppnå en høyere grad av sikkerhet om kontrollers effektivitet når den valgte fremgangsmåten primært består av tester av kontroller, særlig når det ikke er mulig eller praktisk gjennomførbart å innhente tilstrekkelig og hensiktsmessig revisjonsbevis gjennom substanshandlinger alene. Type og omfang av tester av kontroller Andre revisjonshandlinger i kombinasjon med forespørsler (Jf. punkt 10) A26. Forespørsler alene er ikke tilstrekkelig for å teste kontrollers effektivitet. Av den grunn utføres andre revisjonshandlinger i kombinasjon med forespørsler. I så måte kan forespørsler kombinert med inspeksjon eller gjentakelse gi mer sikkerhet enn forespørsler og observasjon, ettersom en observasjon kun er relevant for det tidspunktet den utføres. A27. Den aktuelle kontrollens type påvirker hvilken art revisjonshandling som er nødvendig for å innhente revisjonsbevis for hvorvidt kontrollen fungerte effektivt. Dersom effektiviteten bevises ved dokumentasjon, kan revisor beslutte å inspisere dokumentasjonen for å innhente revisjonsbevis for at kontrollene fungerer effektivt. For andre kontroller er det imidlertid ikke sikkert at slik dokumentasjon er tilgjengelig eller relevant. Det kan for eksempel være at det ikke finnes dokumentasjon for gjennomføring av enkelte faktorer i kontrollmiljøet, for eksempel tildeling av myndighet og ansvar, eller for enkelte arter kontrollaktiviteter, for eksempel kontrollaktiviteter som utføres av en datamaskin. Under slike omstendigheter kan revisjonsbevis for effektivitet 3 ISA 315 punkt 30.

13 13 ISA 330 innhentes gjennom forespørsler i kombinasjon med andre revisjonshandlinger, for eksempel observasjon eller bruk av IT-baserte revisjonsteknikker (CAATs). Omfang av tester av kontroller A28. Når det er nødvendig med mer overbevisende revisjonsbevis for å fastsette en kontrolls effektivitet, kan det være hensiktsmessig å øke omfanget av testingen av kontrollen. I tillegg til graden av tillit knyttet til kontroller, kan revisor vurdere følgende forhold for å fastsette omfanget av tester av kontroller: Hvor hyppig kontrollen utføres av enheten i perioden. For hvilken periode innenfor revisjonsperioden revisor bygger på kontrollens effektivitet. Forventet avvik fra kontrollen. Relevans og pålitelighet for revisjonsbevis som skal innhentes for å fastsette kontrollens effektivitet på påstandsnivå. I hvilken grad revisjonsbevis innhentes gjennom tester av andre kontroller knyttet til påstanden. ISA inneholder ytterligere veiledning i forhold til omfanget av tester. A29. På grunn av IT-behandlingens iboende ensartethet, er det kanskje unødvendig å øke testomfanget av en automatisert kontroll. En automatisert kontroll kan forventes å fungere på en ensartet måte med mindre programmet (herunder tabeller, filer eller andre faste data som anvendes av programmet) endres. Når revisor har funnet at en automatisert kontroll fungerer som forutsatt (som kan avgjøres når kontrollen innføres eller på et senere tidspunkt), kan revisor vurdere om det skal utføres tester for å fastslå at kontrollen fortsatt fungerer effektivt. Disse testene kan gå ut på å fastslå at: endringer i programmet ikke foretas uten at de er gjenstand for aktuelle programendringskontroller, det er en gyldig versjon av programmet som benyttes til å behandle transaksjoner, og andre relevante generelle kontroller fungerer effektivt. Disse testene kan også gå ut på å fastslå at det ikke er foretatt endringer i programmene, noe som kan være tilfellet når enheten anvender programvarepakker uten å endre eller vedlikeholde dem. Revisor kan for eksempel inspisere administrasjonsregisteret for IT-sikkerheten for å innhente revisjonsbevis for at uautorisert tilgang ikke har forekommet i løpet av perioden. Testing av indirekte kontroller (Jf. punkt 10) A30. I enkelte tilfeller kan det være nødvendig å innhente revisjonsbevis som underbygger at indirekte kontroller fungerer effektivt. Når revisor for eksempel beslutter å teste effektiviteten av en brukers gjennomgåelse av avviksrapporter om kredittsalg som viser overskridelse av godkjente kredittgrenser, er det brukerens gjennomgåelse og den tilknyttede oppfølgingen som er kontrollen som er av direkte relevans for revisor. Kontroller over nøyaktigheten av informasjonen i rapportene (for eksempel, generelle IT-kontroller), beskrives som indirekte kontroller. A31. På grunn av IT-behandlingens iboende ensartethet kan revisjonsbevis for iverksettelsen av en automatisert brukerkontroll også gi betydelig revisjonsbevis om kontrollens effektivitet når revisjonsbeviset vurderes sammen med revisjonsbevis for effektiviteten av enhetens generelle kontroller (særlig endringskontroller). 4 ISA 530 «Stikkprøver i revisjon».

14 14 ISA 330 Tidspunkt for tester av kontroller Perioden revisor planlegger å bygge på intern kontroll for (Jf. punkt 11) A32. Revisjonsbevis som gjelder et avgrenset tidspunkt kan være tilstrekkelige for revisors formål, for eksempel ved testing av kontroller over enhetens fysiske varetelling ved regnskapsperiodens slutt. På den annen side, dersom revisor planlegger å bygge på en kontroll over en periode, er det hensiktsmessig å utføre tester som er i stand til å gi revisjonsbevis for at kontrollen fungerte effektivt på relevante tidspunkter i den perioden. Slike tester kan omfatte tester av enhetens overvåking av kontroller. Anvendelse av revisjonsbevis innhentet ved interimsrevisjon (Jf. punkt 12) A33. Relevante faktorer ved fastsettelse av hvilke ytterligere revisjonsbevis som skal innhentes for kontroller som fungerte i perioden etter interimsrevisjonen, omfatter: Betydningen av de anslåtte risikoene for vesentlig feilinformasjon på påstandsnivå. De konkrete kontrollene som ble testet i interimsrevisjonen, og vesentlige endringer i disse kontrollene etter at de ble testet, herunder endringer i informasjonssystemet, prosesser og personale. I hvilken grad det ble innhentet revisjonsbevis for disse kontrollenes effektivitet. Den gjenværende periodens varighet. I hvilket omfang revisor har til hensikt å redusere videre substanshandlinger basert på tillit til kontroller. Kontrollmiljøet. A34. Ytterligere revisjonsbevis kan innhentes ved for eksempel å utvide tester av kontroller over den gjenværende perioden eller ved å teste enhetens overvåking av kontroller. Anvendelse av revisjonsbevis innhentet ved tidligere revisjoner (Jf. punkt 13) A35. I visse tilfeller kan revisjonsbevis innhentet ved tidligere revisjoner være gjenstand for revisjonshandlinger for å fastslå om de fortsatt er relevante. Ved den tidligere revisjonen kan revisor for eksempel ha funnet at en automatisert kontroll fungerte som tiltenkt. Revisor kan innhente revisjonsbevis for å fastslå hvorvidt det er foretatt endringer i den automatiserte kontrollen og om disse påvirker effektiviteten, for eksempel gjennom forespørsler rettet til ledelsen og ved inspeksjon av logger for å identifisere hvilke kontroller som er blitt endret. Vurderingen av revisjonsbevis for disse endringene kan underbygge en økning eller reduksjon av omfanget av de forventede revisjonsbevis for kontrollenes effektivitet som skal innhentes i den aktuelle perioden. Kontroller som er blitt endret siden tidligere revisjoner (Jf. punkt 14) A36. Endringer kan påvirke relevansen av revisjonsbevis som er innhentet i tidligere revisjoner, som for eksempel at det ikke lenger er noe grunnlag for fortsatt tillit. Endringer i et system som gjør det mulig for en enhet å motta en ny rapport fra systemet, vil sannsynligvis ikke påvirke relevansen av revisjonsbevis fra en tidligere revisjon, mens en endring som medfører at data innsamles eller beregnes på en annen måte vil ha slik påvirkning. Kontroller som ikke er blitt endret siden tidligere revisjoner (Jf. punkt 14) A37. Revisors beslutning om å bygge på revisjonsbevis for kontroller innhentet ved tidligere revisjoner som: ikke er blitt endret siden de sist ble testet, og ikke er kontroller som reduserer en særskilt risiko, avhenger av profesjonelt skjønn. I tillegg er tidsrommet mellom hver ny testing av slike kontroller også gjenstand for profesjonelt skjønn, men punkt 14 stiller som krav at det må skje minst én gang hvert tredje år.

15 15 ISA 330 A38. Generelt kan man si at jo høyere risikoen for vesentlig feilinformasjon er eller jo mer man bygger på kontroller, desto kortere vil den eventuelle mellomliggende tidsperioden sannsynligvis være. Forhold som vanligvis reduserer tidsperioden før en ny test av en kontroll, eller som fører til at det ikke kan knyttes tillit til revisjonsbevis som er innhentet ved tidligere revisjoner, omfatter følgende: Et mangelfullt kontrollmiljø. Mangelfull overvåking av kontroller. Et vesentlig manuelt element i de relevante kontrollene. Personalendringer som i vesentlig grad påvirker anvendelsen av kontrollen. Endrede omstendigheter som tyder på et behov for endringer i kontrollen. Mangelfulle generelle IT-kontroller. A39. Når revisor planlegger å bygge på revisjonsbevis som er innhentet ved tidligere revisjoner for flere kontroller, vil testing av noen av disse kontrollene ved hver revisjon gi bekreftende informasjon om kontrollmiljøets fortsatte effektivitet. Dette bidrar til revisors beslutning om hvorvidt det er hensiktsmessig å bygge på revisjonsbevis innhentet ved tidligere revisjoner. Vurdering av kontrollers effektivitet (Jf. punkt 16 17) A40. En vesentlig feilinformasjon som avdekkes gjennom revisors handlinger er en sterk indikator på at det foreligger en vesentlig mangel i den interne kontrollen. A41. Begrepet effektivitet ved utførelsen av kontroller tar høyde for at det kan forekomme enkelte avvik i måten enheten anvender kontroller på. Avvik fra beskrevne kontroller kan blant annet skyldes utskifting av nøkkelpersonale, vesentlige sesongsvingninger i transaksjonsvolum og menneskelig svikt. Den avdekkede avvikshyppigheten, særlig sammenlignet med den forventede avvikshyppigheten, kan tyde på at revisor ikke kan bygge på kontrollen for å redusere risikoen på påstandsnivå til revisors anslåtte nivå. Substanshandlinger (Jf. punkt 18) A42. Punkt 18 krever at revisor utformer og utfører substanshandlinger for hver enkelt vesentlig transaksjonsklasse, kontosaldo og tilleggsopplysning, uavhengig av de anslåtte risikoene for vesentlig feilinformasjon. Dette kravet gjenspeiler det faktum at: (i) revisors vurdering av risiko er gjenstand for skjønn og dermed ikke nødvendigvis identifiserer alle risikoer for vesentlig feilinformasjon, og (ii) det er iboende begrensninger ved den interne kontrollen, herunder mulighet for ledelsens overstyring. Type og omfang av substanshandlinger A43. Avhengig av omstendighetene kan revisor komme frem til at: Utførelsen av analytiske substanshandlinger alene vil være tilstrekkelig til å redusere revisjonsrisikoen til et akseptabelt lavt nivå. For eksempel når revisors risikovurdering underbygges av revisjonsbevis fra tester av kontroller. Bare detaljtester er hensiktsmessig. En kombinasjon av analytiske substanshandlinger og detaljtester er best tilpasset for å håndtere de anslåtte risikoene. A44. Analytiske substanshandlinger er generelt mer anvendelige for store mengder transaksjoner som pleier å være forutsigbare over tid. ISA fastsetter normer og gir veiledning i anvendelsen av analytiske handlinger ved revisjon. A45. Typen risiko og påstand er relevant for utformingen av detaljtester. Detaljtester knyttet til påstander om eksistens eller gyldighet kan for eksempel innebære at revisor velger fra elementer 5 ISA 520 «Analytiske handlinger».

16 16 ISA 330 som inngår i et beløp i årsregnskapet og innhenter relevant revisjonsbevis. På den annen side kan detaljtester knyttet til påstanden om fullstendighet innebære at revisor velger fra elementer som forventes å være inkludert i det relevante beløpet i årsregnskapet, og undersøker hvorvidt de er inkludert. A46. Ettersom vurderingen av risikoen for vesentlig feilinformasjon tar hensyn til intern kontroll, kan det bli nødvendig å øke omfanget av substanshandlinger dersom resultatene fra tester av kontroller ikke er tilfredsstillende. En økning av omfanget av en revisjonshandling er imidlertid kun hensiktsmessig dersom revisjonshandlingen i seg selv er relevant for den konkrete risikoen. A47. Ved utforming av detaljtester er omfanget av testingen vanligvis relatert til utvalgsstørrelsen. Andre forhold er imidlertid også relevante, blant annet om det er mer effektivt å bruke andre selektive testmetoder. Se ISA Vurdering av hvorvidt eksterne bekreftelser skal gjennomføres (Ref. punkt 19) A48. Eksterne bekreftelser er ofte relevante ved vurderingen av påstander i tilknytning til kontosaldoer og deres innhold, men behøver ikke være begrenset til disse postene. Revisor kan for eksempel anmode om eksterne bekreftelser av vilkårene i avtaler, kontrakter eller transaksjoner mellom en enhet og andre parter. Eksterne bekreftelser kan også bli gjennomført for å innhente revisjonsbevis om fraværet av visse betingelser. En anmodning kan for eksempel spesifikt be om bekreftelse av at det ikke eksisterer noen «sideavtale» som kan være relevant for en enhets påstand om periodisering av en inntekt. Andre situasjoner der eksterne bekreftelser kan gi relevant revisjonsbevis for å håndtere anslåtte risikoer for vesentlig feilinformasjon, omfatter: banksaldoer og annen informasjon som er relevant for forholdet til banker kundefordringssaldoer og -betingelser varelager hos tredjeparter på frilagre for behandling eller i kommisjon skjøte på fast eiendom, oppbevart av advokater eller finansieringsforetak til sikker oppbevaring eller stillet som sikkerhet investeringer oppbevart av tredjeparter eller kjøpt fra aksjemeglere, men ikke levert per balansedato skyldige beløp til långivere, herunder relevante tilbakebetalingsbetingelser og bruksinnskrenkende klausuler (restrictive covenants) leverandørsaldoer og -betingelser. A49. Til tross for at eksterne bekreftelser kan gi relevant revisjonsbevis vedrørende visse påstander, er det noen påstander som eksterne bekreftelser gir mindre relevant revisjonsbevis for. Eksterne bekreftelser gir for eksempel mindre relevant revisjonsbevis om erholdeligheten av utestående kundefordringer enn de gjør om deres eksistens. A50. Revisor kan ta det standpunkt at eksterne bekreftelser som blir utført for ett formål, gir anledning til å innhente revisjonsbevis om andre forhold. Bekreftelsesanmodninger vedrørende banksaldoer inneholder for eksempel ofte anmodninger om informasjon som er relevant for andre regnskapspåstander. Slike vurderinger kan påvirke revisors beslutning om hvorvidt det skal gjennomføres eksterne bekreftelser. A51. Faktorer som kan bistå revisor ved bestemmelsen av hvorvidt eksterne bekreftelser skal gjennomføres som substanshandlinger, omfatter: den bekreftende partens kjennskap til saksforholdet svar kan være mer pålitelige dersom de avgis av en person hos den bekreftende part som har den nødvendige kjennskap til informasjonen som bekreftes den forespurte bekreftende parts evne eller vilje til å svare den bekreftende part kan for eksempel: 6 ISA 500 «Revisjonsbevis» punkt 10.

17 17 ISA 330 ikke påta seg ansvar for å svare på en bekreftelsesanmodning vurdere det slik at det er for kostbart eller tidkrevende å svare ha innvendinger til de potensielle juridiske forpliktelsene som det å svare vil medføre regnskapsføre transaksjoner i forskjellige valutaer, eller operere i et miljø der det å besvare bekreftelsesanmodninger ikke er noen viktig side ved den daglige driften. I slike situasjoner kan det forekomme at partene som er anmodet om å avgi bekreftelse, ikke svarer, de kan svare på en tilfeldig måte eller de kan forsøke å begrense tilliten mottakeren kan ha til svaret. objektiviteten til parten som er anmodet om å avgi bekreftelse dersom parten som er anmodet om å avgi bekreftelse, er en nærstående part til enheten, kan svar på bekreftelsesanmodninger være mindre pålitelige. Substanshandlinger knyttet til regnskapsavslutningsprosessen (Jf. punkt 20) A52. Typen, men også omfanget av revisors undersøkelse av posteringer og andre justeringer avhenger av typen og kompleksiteten av enhetens prosess for finansiell rapportering og de relaterte risikoene for vesentlig feilinformasjon. Substanshandlinger for å håndtere særskilte risikoer (Jf. punkt 21) A53. Punkt 21 i denne ISA-en krever at revisor utfører substanshandlinger som er spesielt tilpasset risikoer som etter revisors vurdering er særskilte risikoer. Revisjonsbevis i form av eksterne bekreftelser som revisor har mottatt direkte fra egnede bekreftende parter, kan bistå revisor med å innhente revisjonsbevis med det høye pålitelighetsnivå som revisor krever for å håndtere særskilte risikoer for vesentlig feilinformasjon, enten den skyldes misligheter eller feil. Dersom revisor for eksempel blir kjent med at ledelsen er under press for å oppfylle forventede inntektsmål, kan det være en risiko for at ledelsen forhøyer omsetningen ved urettmessig å inntektsføre inntekter knyttet til salgskontrakter med vilkår som utelukker inntektsføring, eller ved å fakturere salg før forsendelse. Under slike omstendigheter kan revisor for eksempel utforme eksterne bekreftelser ikke bare for å få bekreftet utestående beløp, men også for å få bekreftet opplysningene i salgskontraktene, herunder dato, eventuelle returretter og leveringsvilkår. I tillegg kan revisor finne det hensiktsmessig å supplere slike eksterne bekreftelser med forespørsler rettet til medarbeidere i enheten som ikke er regnskapspersonale, vedrørende eventuelle endringer i salgskontrakter og leveringsvilkår. Tidspunkt for utførelse av substanshandlinger (Jf. punkt 22 23) A54. I de fleste tilfeller har revisjonsbevis fra substanshandlinger foretatt ved en tidligere revisjon liten eller ingen verdi som revisjonsbevis for inneværende periode. Det forekommer imidlertid unntak, for eksempel kan en juridisk betenkning innhentet ved en tidligere revisjon om strukturen i en verdipapirisering der det ikke har forekommet noen endringer, være relevant for inneværende periode. I slike tilfeller kan det være hensiktsmessig å anvende revisjonsbevis fra substanshandlinger foretatt ved en tidligere revisjon dersom revisjonsbeviset og de tilknyttede saksforholdene ikke har vært gjenstand for vesentlige endringer, og det har vært utført revisjonshandlinger i inneværende periode for å fastslå hvorvidt revisjonsbeviset fortsatt er relevant. Anvendelse av revisjonsbevis innhentet i interimsrevisjonen (Jf. punkt 22) A55. Under visse omstendigheter kan revisor beslutte at det er effektivt å utføre substanshandlinger per en interimsdato, og å sammenligne og avstemme informasjon om saldoen ved regnskapsperiodens slutt med tilsvarende informasjon per interimsdatoen for å: identifisere beløp som synes uvanlige, undersøke ethvert slikt beløp, og

18 18 ISA 330 (c) utføre analytiske substanshandlinger eller detaljtester for å teste den mellomliggende perioden. A56. Utførelse av substanshandlinger per en interimsdato uten å gjennomføre ytterligere revisjonshandlinger på en senere dato, kan øke risikoen for at revisor ikke avdekker feilinformasjon som kan eksistere ved regnskapsperiodens slutt. Denne risikoen øker i takt med lengden av den gjenværende perioden. Faktorer som de følgende kan påvirke hvorvidt substanshandlinger kan utføres per en interimsdato: Kontrollmiljøet og andre relevante kontroller. Hvorvidt informasjon som er nødvendig for revisors revisjonshandlinger er tilgjengelig på et senere tidspunkt. Formålet med substanshandlingen. Den anslåtte risikoen for vesentlig feilinformasjon. Typen av transaksjonsklasser eller kontosaldoer og tilknyttede påstander. Revisors mulighet til å utføre hensiktsmessige substanshandlinger eller substanshandlinger kombinert med tester av kontroller for den gjenværende perioden for å redusere risikoen for at feilinformasjon som kan foreligge ved regnskapsperiodens slutt, ikke avdekkes. A57. Ved vurdering av hvorvidt analytiske substanshandlinger skal utføres i perioden mellom interimsdatoen og regnskapsperiodens slutt vurderer revisor blant annet følgende faktorer: Hvorvidt saldoene ved regnskapsperiodens slutt for de aktuelle transaksjonsklassene eller kontosaldoene er rimelig forutsigbare med hensyn til beløp, relativ betydning og sammensetning. Hvorvidt enhetens rutiner for analyse og justering av disse transaksjonsklassene eller kontosaldoene per interimsdatoer og for fastsettelse av passende tidsavgrensninger, er hensiktsmessige. Hvorvidt informasjonssystemet knyttet til den finansielle rapporteringen vil gi tilstrekkelig informasjon om saldoene ved regnskapsperiodens slutt og transaksjonene i den mellomliggende perioden til at det kan foretas undersøkelse av: (c) Betydelige, uvanlige transaksjoner og registreringer (herunder de som skjer ved regnskapsperiodens slutt eller kort tid før), andre årsaker til vesentlige fluktuasjoner, eller forventede fluktuasjoner som ikke inntraff, og endringer i sammensetningen av transaksjonsklassene eller kontosaldoene. Feilinformasjon avdekket per en interimsdato (Jf. punkt 23) A58. Når revisor konkluderer med at planlagt type, tidspunkt eller omfang av substanshandlinger for den gjenværende perioden må endres som følge av uventet feilinformasjon som avdekkes per en interimsdato, kan en slik endring omfatte utvidelse eller gjentakelse av revisjonshandlingene som ble utført per interimsdatoen ved regnskapsperiodens slutt. Adekvat presentasjon og informasjon (Jf. punkt 24) A59. Vurdering av presentasjonen av årsregnskapet totalt sett, herunder de tilknyttede tilleggsopplysningene, er knyttet til hvorvidt årsregnskapet presenteres på en måte som gjenspeiler en hensiktsmessig klassifisering og beskrivelse av finansiell informasjon samt formen, oppsettet av og innholdet i årsregnskapet og tilhørende noter. Dette omfatter for eksempel den terminologien som anvendes, hvor detaljerte informasjonen er, klassifiseringen av poster i årsregnskapet og grunnlaget for fremlagte beløp.

19 19 ISA 330 Vurdering av om innhentede revisjonsbevis er tilstrekkelige og hensiktsmessige (Jf. punkt 25 27) A60. Revisjon av årsregnskap er en kumulativ og repeterende prosess. Under revisors utførelse av planlagte revisjonshandlinger kan innhentede revisjonsbevis føre til at revisor endrer typen, tidspunktet for utførelse og omfanget av andre planlagte revisjonshandlinger. Revisor kan få kjennskap til informasjon som i vesentlig grad avviker fra den informasjonen som lå til grunn for risikovurderingen. For eksempel: Omfanget av feilinformasjon som revisor avdekker ved å utføre substanshandlinger kan endre revisors bedømmelse av risikovurderingene og kan tyde på en vesentlig mangel i den interne kontrollen. Revisor kan bli oppmerksom på uoverensstemmelser i regnskapsmaterialet eller motstridende eller manglende bevis. Analytiske handlinger utført ved totalgjennomgåelsen av revisjonen kan antyde en risiko for vesentlig feilinformasjon som tidligere ikke er blitt identifisert. Under slike omstendigheter kan det være nødvendig å revurdere de planlagte revisjonshandlingene basert på den endrede vurderingen av anslått risiko for alle eller noen av transaksjonsklassene, kontosaldoene eller tilleggsopplysningene og de tilknyttede påstandene. ISA 315 inneholder ytterligere veiledning i forhold til revurdering av revisors risikovurdering. 7 A61. Revisor kan ikke gå ut fra at et tilfelle av misligheter eller feil er et engangstilfelle. Av den grunn er det viktig å vurdere hvordan avdekkingen av feilinformasjon påvirker de anslåtte risikoene for vesentlig feilinformasjon for å kunne fastslå hvorvidt vurderingen fortsatt er hensiktsmessig. A62. Revisors vurdering med hensyn til hva som utgjør tilstrekkelige og hensiktsmessige revisjonsbevis påvirkes blant annet av følgende forhold: Betydningen av mulig feilinformasjon i en påstand og sannsynligheten for at den vil ha vesentlig innvirkning, alene eller sammen med annen mulig feilinformasjon, på årsregnskapet. Hvorvidt ledelsens reaksjoner og kontroller for å håndtere risikoene er effektive. Erfaring fra tidligere revisjoner med hensyn til liknende mulig feilinformasjon. Resultatene av utførte revisjonshandlinger, herunder hvorvidt disse revisjonshandlingene har identifisert konkrete tilfeller av misligheter eller feil. Informasjonskildene og hvorvidt informasjonen er pålitelig. Hvor overbevisende revisjonsbeviset er. Forståelsen av enheten og dets omgivelser, herunder enhetens interne kontroll. Dokumentasjon (Jf. punkt 28) A63. Dokumentasjonens form og omfang er gjenstand for profesjonelt skjønn og påvirkes av typen, størrelsen og kompleksiteten av enheten og dets interne kontroll, tilgjengeligheten av informasjon fra enheten og revisjonsmetodene og -teknologiene som brukes under revisjonen. 7 ISA 315 punkt 31.